linux网络及安全管理

RedHatLinux网络及安全管理

REDHAT

EDUCATIONANDCERTIFICATION课程号RH253，考试号RH30203/20/2005linuxnetman©netecRHCE:RedHatLinux个人信息李长水http://E-mail:lcssky@163.comRedHatLinux教学目录(网络）Linux网络基础DHCP服务器Samba服务器NFS服务器DNS服务器Web服务器FTP服务器E-mail服务器路由和防火墙远程管理

Linux网络基础11-1LINUX支持的网络服务1.支持的协议TCP/IPIPX/SPXAppletalk2.网络服务WWW （apache）SMTP (sendmail,postfix,qmail)POP3 （imap）FTP （vsftpd,wu-ftpd,proftpd）DNS （bind）DB(mysql,postgresql,Sybase,oracle,db2）SSH （OpenSSH

）2-1

以太网的TCP/IP设置1.Linux中网络接口的表示方法eth* //以太网接口lo //回送接口ppp* //拨号网络接口2./etc/sysconfig/network文件功能：设置主机基本的网络信息，包括主机名、默认网关等信息内容：NETWORKING=yes/no //启动系统时是否启用网络服务。HOSTNAME=www.sina.cm

//设定主机名GATEWAY= //设定默认网关GATEWAYDEV=eth0 //设定网关接口FORWARD_IPV4=yes/no //是否启用IP转发功能3./etc/sysconfig/network-scripts/ifcfg-ethX(X取值0,1,2,…n)功能：用于配置以太网接口卡的IP信息内容：ONBOOT=yes//启动时是否激活网卡DEVICE=eth0//设置接口名称BOOTPROTO=none|static|dhcp|bootp

//设定网卡启动协议IPADDR=NETMASK=BROADCAST=55NETWORK=注意：一个以太网卡如何绑定多个IP地址实例：设定主机中存在的eth0设备，它的ip地址是：/24，要求给eth0再绑定ip地址：/24步骤：①#cd/etc/sysconfig/network-scripts #cpifcfg-eth0ifcfg-eth0:0②#viifcfg-eht0:0

修改后的内容：

ONBOOT=YES BOOTPROTO=NONE DEVICE=eth0:0 IPADDR= NETMASK= NETWORK= BROADCAST=554./etc/resolv.conf功能：指定域名服务器的位置内容：domainname

//设定主机域名serch

//设定搜索列表nameserver54 //设定DNS服务器的IP注：最多只能设置3个DNS服务器地址5./etc/services文件功能：存放系统服务与端口的对照表6./etc/protocols功能：存放系统所支持的子协议1-3

常用的网络服务命令1.ifconfig功能：

① 显示网络接口的配置信息。

② 激活/禁用某个网络接口。

③ 配置网络接口IP址址。格式：① #ifconfig [接口名]② #ifconfig <接口名><up/down>③ #ifconfig <接口名> ip地址 netmask

子网掩码实例：

⑴ #ifconfig

⑵ #ifconfigeth0 ⑶ #ifconfigeth0down ⑷ #ifconfigeth0netmask

2. ifup功能： 激活网络接口格式： ifup<设备名>实例： #ifupeth03.ifdown功能：禁用网络接口格式：ifdown<设备名>实例：

#ifdowneth04.ping功能：向目标主机发送icmp数据包，检测IP连通性格式：ping[参数]IP地址/主机名实例：#stat功能：显示网络的连接状态。格式：#netstat[参数]参数：

-i //显示接口状态信息

-lpe //显示socket信息

-nr //显示内核路由表信息

-t/-u//显示TCP/UDP连接状态实例：#netstat-nr#netstat-lpe#netstat-t6.traceroute功能：跟踪路由实例：#traceroute

7.hostname功能：显示主机名实例：#hostname8.route功能：显示路由表添加路由删除路由添加/册除默认网关格式：routerouteadd-net

网络地址netmask

子网掩码dev

网卡设备名routedel-net网络地址netmask

子网掩码routeadddefaultgw

网关IP地址dev

网卡设备名routedeldefaultgw

网关IP地址dev实例：#route //显示当前系统的路由表信息#routeadd-net/24netmaskdeveth0#routedel-net/24netmask

#routeadddefaultgwdeveth01-4

服务的启动方式

1.服务的运行方式⑴独立运行方式每项服务只监听该服务指定的端口，服务的启动脚本存放在/etc/rc.d/init.d/⑵超级服务超级服务由xinetd管理,由xinetd管理的服务的配置文件存放在/etc/xinetd.d目录中2.服务的启动、关闭与重启（1）独立服务的启动、关闭与重启手工方式：方法一：

#/etc/rc.d/init.d/脚本名<start|restart|stop>实例：

#/etc/rc.d/init.d/networkrestart方法二：

#service服务名<start|restart|stop>实例: #servicehttpdstart自动方式：方法一：

#ntsysv[--level级别]实例：

#ntsysv //设置当前运行级别要运行的服务

#ntsysv-level5 //设置启动5号运行级别要运行的服务方法二：

①#chkconfig--list[服务名] ②#chkconfig[--level<级别>]<服务名><on/off>实例：

#chkconfig--list

//显示各项服务在每个运行级别中的状态

#chkconfig--level3dhcpdon（2）超级服务手工方式：①#/etc/rc.d/init.d/xinetd<stop|restart|start>②#servicexinetd<stop|start|restart>自动方式：①#ntsysv[--level级别]②#chkconfig[--level<级别>]xinetd<on/off>3.xinetd

定义：xinetd是一种能够同时临听多个端口，为终端提供相应服务的自由软件

xinetd安装：#rpm–ivhxinetd-2.3.10-6.i386.rpmxinetd相关文件：/etc/xinetd.conf //xinetd的主要配置文件/etc/xinetd.d/ //存放xinetd子配置文件上机作业DHCP服务器22-1DHCP的基本概念1.DHCP的定义DHCP<动态主机配置协议>是TCP/IP协议集所提供的一种实现自动分配IP配置信息的子协议2.DHCP的体系结构DHCP服务器运行DHCP服务软件包和DHCP协议的主机DHCP客户机运行DHCP协议可以发送DHCP请求的主机3.DHCP工作原理（1）分配IP地址过程（2）续租过程4.DHCP中继代理2-2DHCP服务的配置1.安装DHCP的服务软件包(2#光盘)#mount/dev/cdrom#cd/mnt/cdrom/RedHat/RPMS#rpm–ivhdhcp-3.0pl1-23.i386.rpm相关文件和目录：/etc/rc.d/init.d/dhcpd //DHCP服务的启动脚本/etc/dhcpd.conf //核心配置文件，要手工创建。/var/lib/dhcp/dhcpd.leases //客户租约的数据库文件。/etc/sysconfig/dhcpd //配置DHCP的启动参数/etc/sysconfig/dhcrelay //配置DHCP中继代理/usr/share/doc/dhcp-3.0pl/ //存放DHCP说明文档2./etc/dhcpd.conf

功能：设置DHCP服务器的全局参数和作用选项文件格式：选项/参数 //作用范围是整个DHCP服务器声明{选项/参数}说明： （1）声明：

①subnet功能：定义子网(定义作用域)格式：

subnet网络号netmask

子网掩码{

选项/参数；

}注意：网络号必须与服务器的IP地址网络号相同。如果服务器有多块网卡时，必须为每一个网卡都建立一个相同网络号的子网，但是不用分配地址的子网可以不定义地址范围

②host功能：定义保留地址格式：

host名称{

选项； 参数；

}注意：通常放在subnet声明中

③shared-network功能：设置同一个物理网络可以使用不同子网的IP地址格式：

shared-network名称{ ……….. }注意：通常用于包含多个subnet声明 （2）参数

①ddns-update-style功能：定义动态更新类型格式：ddns-update-style{none|ad-hoc|interim};注意：在文件中必须包含该参数，且放在第一行

②ignore功能：忽略客户机更新格式：ignoreclient-updates;注意：该选项只能作为服务器选项

③default-lease-time功能：指定默认租约时间格式：default-lease-time数字；实例：default-lease-time3600；注意：可以作为服务器选项和作用域选项，默认单位为秒

④max-lease-time功能：指定最长的地址租期格式：max-lease-time数字；实例：max-lease-time43200；注意：可以作为服务器选项和作用域选项，默认单位为秒

⑤hardware功能：指定硬件接口类型及硬件地址格式：hardware硬件类型硬件地址；实例：hardwareethernet 12:34:56:78:ab:cd注意：硬件类型可以取ethernet/token-ring硬件地址为网卡地址的MAC地址该选项只能用于host声明中

⑥fixed-address功能：定义保留IP地址格式：fixed-addressip地址；实例：fixed-address23;注意：该选项只能用于host声明中

⑦range功能：定义作用域范围格式：range起始IP地址终止IP地址;实例：range 54;注意：用于subnet声明一个subnet中有多个range，但多个range所定义IP范围不能重复。

⑧server-name功能：通知DHCP客户机服务器的主机名格式：server-name主机名;注意：可以作为服务器选项和作用域选项 （3）选项①optionrouters功能：为客户机指定默认网关格式：optionroutersIP地址[，IP地址，…];注意：可以作为服务器选项和作用域选项

②optiondomain-name-servers功能：指定客户机的DNS服务器的地址格式：optiondomain-name-serversip地址[，ip地址…]注意：可以作为服务器选项和作用域选项

③optiondomain-name功能：定义客户端DNS后缀名格式：optiondomain-name“域名”;注意：可以作为服务器选项和作用域选项

④optionnetbios-name-servers功能：定义客户机WINS服务器地址格式：

optionnetbios-name-serversip地址[，ip地址,...];注意：可以作为服务器选项和作用域选项

⑤optionsubnet-mask功能：定义客户机的子网掩码格式：optionsubnet-mask子网掩码；注意：可以作为服务器选项和作用域选项实例：要求如下：DHCP不支持dns动态更新定义作用域子网，网络掩码为,地址范围为-----50默认地址租约时间为3600秒，最大地址租约时间为7200秒所有作用域的客户机默认网关地址，DNS服务器地址为54保留子网中的给以太网卡物理地址为00:E0:4C:70:33:65的客户机配置过程：#vi/etc/dhcpd.confddns-update-stylenone;ignoreclient-updates;default-lease-time3600;max-lease-time7200;optionrouters;optiondomain-name“”;optiondomain-name-servers54;subnetnetmask{ range50; hostrh1{

hardward

ethernet00:E0:4C:70:33:65; fixed-address; }}3.设置DHCP守护进程的工作参数#vi/etc/sysconfig/dhcpd DHCPDARGS=eth0 //设置DHCP守护进程监听网卡接口4.启动DHCP服务器方法一：#servicedhcpdstart方法二：#/etc/rc.d/init.d/dhcpdstart或#ntsysv2-3DHCP客户端的配置1.Windows客户端右击网上邻居----属性-----双击tcp/ip协议----选择“自动获动IP地址”c:\>ipconfig/releasec:\>ipconfig/renew2.Linux客户端(1)设置网卡采用dhcp启动协议，自动获取ip地址信息#vi/etc/sysconfig/network-scripts/ifcfg-ethX（X可以0，1，2……） 修改BOOTPROTO为：

BOOTPROTO=dhcp(2)获取IP地址#ifdown

ethX;ifup

ethX

(X可以取0,1,2,……)注意：linux系统的dhcp客户端使用dhclient脚本来获取IP地址信息2-4DHCP中继代理设置1.配置中继代理

#vi/etc/sysconfig/dhcrelay INTERFACES=“接口名”

DHCPSERVERS=“DHCP服务器IP”2.启动服务

#servicedhcrelaystart2-5

应用案例要求：一台RedHatLinux9.0主机，eth0的ip地址为：,现要求利用dhcpd软件架设一台满足以下要求的DHCP服务器：不支持dns动态更新,且忽略客户机的更新服务器的默认地址租约时间为3600秒，最大地址租约时间为7200秒所有作用域的客户机后缀域名为,DNS服务器地址为54所有作用域的客户机默认网关地址定义作用域子网，地址掩码为,地址范围为-----50保留子网中的给以太网卡物理地址为00:E0:4C:70:33:65的客户机绑定dhcp服务在eth0接口上配置过程：上机作业Samba服务器33-1samba的基本概念1.samba的功能

samba是一种基于linux/unix平台中利用于smb（服务信息块）协议，实现以下功能的软件包：Linux/UNIX与其它系统主机之间的文件及打印共享支持wins服务器解析和浏览支持Windows域控制器和成员服务器的身份验证支持windows客户端使用网上邻居浏览网络支持SSL2.samba的工作原理samba核心由smbd和nmbd组成smbd程序来监听139TCP端口实现主机之间文件及打印共享，nmbd监听137,138UDP端口实现主机之间可以利用netbios名称相互访问3-2samba的配置

1.安装samba的软件包#mount/dev/cdrom //插入第一张安装光盘#cd/mnt/cdrom/RedHat/RPMS#rpm–ivhsamba-common-2.2.7a-7.9.0.i386.rpm //该包中包括服务器和客户均需要的文件#rpm–ivhsamba-2.2.7a-7.9.0.i386.rpm //服务端软件#rpm–ivhredhat-config-samba-1.0.4-1.noarch.rpm //samba的GUI管理工具#rpm–ivhsamba-client-2.2.7a-7.9.0.i386.rpm //samba客户端软件#rpm–ivhsamba-swat-2.2.7a-7.9.0.i386.rpm //samba的web管理工具,该包放在第三张安装光盘中 相关文件:/etc/samba/smb.conf //samba的核心配置文件/etc/rc.d/init.d/smb //samba的启动脚本/usr/sbin/smbd //samba的守护进程/usr/sbin/nmbd //netbois的守护进程/etc/samba/smdpasswd//存放samba用户口令/usr/bin/smbadduser//添加samba用户/usr/bin/smbpasswd//设置samba用户的口令/usr/bin/smbclient//samba的客户访问工具/usr/bin/smbprint//samba的打印工具/usr/bin/smbmount//samba客户加载工具/usr/bin/smbumount//samba客户卸载工具/usr/sbin/swat//samba的web配置工具2.修改/etc/samba/smb.conf

功能:设置samba服务器选项和共享选项文件格式：#说明语句 //注释行#全局参数设置[global] //定义samba服务器的全局选项……全局参数=值……#共享参数设置[homes]//共享用户主目录……资源共享参数=值……[printers]//打印机共享……资源共享参数=值……[public]//共享目录设置……资源共享参数=值……[自定义] //自定义的共享……资源共享参数=值……说明：

(1)全局参数基本全局参数安全设置参数

打印机设置参数

日志设置参数

运行效率参数wins设置参数(2)资源共享的选项基本参数访问控制参数自动执行参数3.启动samba服务 （1）检查配置文件正确性

#testparm

（2）启动服务#servicesmbstart或#ntsysv4.建立samba用户方法一: smbpasswd（1）建立系统用户（2）#smbpasswd[-a]用户名实例:#useraddu1#passwdu1#smbpasswd-au1方法二: smbadduser（1）建立系统用户（2）smbadduser

用户名:用户名实例:建立samba用户user2#useradduser2#passwduser2#smbadduseruser2:user2Samba用户名方法三:成批添加用户#mksmbpasswd.sh实例:#cat/etc/passwd

｜mksmbpasswd.sh>/etc/samba/smbpasswd3-3Samba的客户端工具的使用1.Smbclient

功能：（１）查看其他主机上共享资源（２）连接其他主机的共享目录格式：#smbclient[参数]//主机名（或ip地址）/共享名参数:-L //查看指定主机上的共享目录-U用户名//指定连接其它主机的用户名-N //不提示输入用户实例：#smbclient-L//#smbclient-L//-Uadministrator#smbclient///soft-Uadministratorsmb>?（得到帮助）2.smbmount

功能：加载smb文件系统格式： smbmount//主机名或IP地址/共享名装载点[-ousername=用户名password=密码]实例:

#smbmount///c/c-ousername=administrator3-4

应用案例上机作业NFS服务器4上机作业DNS服务器55-1

域名解析的基本概念1.域名解析的定义实现域名（FQDN）和IP地址之间的相互转换过程2.域名解析的方法hosts：适用于小型网络，管理较困难NIS：用NIS数据库存放的解析记录，适用于中型网络DNS：域名解析分布式存储和分布式解析，适用于大型网络5-2DNS的工作体系1.DNS组成（1）域名空间DNS的命名系统是一个层次逻辑树状结构，该树状结构称为域名空间图：DNS域名空间（2）DNS名称服务器定义：用于存放资源记录和进行名称解析的计算机分类：主要名称服务器辅助名称服务器唯高速缓存服务器（3）客户机发送DNS解析请析的主机2.DNS解析方式递归查询循环查询反向解析3.DNS解析过程5-3DNS的配置1.安装DNS服务器软件（1#光盘）#rpm–ivhbind-9.2.1-16.i386.rpm //域名服务器软件#rpm–ivhbind-utils-9.2.1-16.i386.rpm //工具软件包#rpm–ivhredhat-config-bind-1.9.0-13.noarch.rpm //DNS的GUI配置工具#rpm–ivhcaching-nameserver-7.2-7.noarch.rpm //（2#光盘）相关文件：/etc/rc.d/init.d/named

//dns服务器守护进程所对应的程序/etc/named.conf

//dns服务器的区域和服务器选项设置文件/var/named/named.ca

//dns服务器根区域文件/var/named/localhost.zone

//dns服务器localhost区域的正向文件/var/named/named.local

//的反向解析文件2.修改/etc/named.conf功能：建立区域文件格式：#注释语句声明{

选项；

……;}；说明：常用的声明 （1）options声明作用：定义DNS服务器的全局选项格式：options{全局选项；……；｝；全局选项: ①directory“路径名”; //定义服务器区域文件的存放目录

②recursionyes/no; //是否使用递归查询方式,默认为yes ③forwarders{ip地址;…….}; //定义转发器 （2）zone声明作用：定义管理区域格式：zone“区域名”IN{type子句；file子句；其他子句；};说明：

①type区域类型;功能：定义区域的类型区域类型：

master //表示主区域

slave //表示从区域

hint //表示缓存区域实例：

typemaster;

②file“文件名”;功能：设置区域的区域文件实例：

file“linux.zone”;

③allow-update{none；|rndckey名称；};功能：设置区域是否允许动态更新实例：

allow-update{none};

④masters{ip地址；}；功能：设置从区域中的主服务器地址（当type=slave时使用）实例：

masters{;}; （3）controls声明功能:定义rndc命令使用的控制通道格式:controls{

inet

ip地址

[port端口号]allow{主机名;}keys{密钥名称;};};实例：

controls{

inet;allow{localhost;}keys{rndckey;}; }; （4）include语句功能:将其他文件包含到本配置文件中格式:include“/路径/文件名”;实例：

include“/etc/rndc.key”;实例：默认named.conf文件内容options{ directory"/var/named"; //query-sourceaddress*port53;};controls{

inetallow{localhost;}keys{rndckey;};};zone"."IN{ typehint; file"named.ca";};zone"localhost"IN{ typemaster; file"localhost.zone"; allow-update{none;};};zone"0.0.127."IN{ typemaster; file"named.local"; allow-update{none;};};include"/etc/rndc.key";3.创建区域文件作用：存放区域的信息记录格式： 区域文件指令

[NAME]

[TTL]INTYPEVALUE说明： （１）NAME(记录名称)功能：定义记录名称记录名称取值：空格 //空值，代表默认区域. //根域＠ //代表默认区域名称ip地址字符串FQDN应用实例

1DINNSwwwINAINPTR

（2）TTL（生存周期）功能：设置记录被解析后在缓存中保存的最长时间长度取值实例： 数字[M|H|D|W] （3）TYPE（记录类型）功能：定义记录的类型取值类型：A //主机记录NS //域名服务器记录MX //邮件交换器记录CNAME //别名记录PTR //指针记录SOA //起始授权记录……应用实例：①wwwINA②@（区域名）IN

SOA@（授权的主机名）.（管理员的mail地址）( 43 //序列号,递增量

3H //辅助域名服务器多长时间更新数据库

15M //重试时间间隔

1W //有效期

1D //设置生存周期

) （4）VALUE（值）功能：设置记录的值取值实例：A IP地址PTR主机名MX优先级 IP地址/主机名CNAME 主机名NS IP地址/主机名SOA主机名.邮件地址（

……) （5）区域文件指令$ORIGIN区域名

//设置管辖的默认区域$TTL数字

//为没有定义精确的生存周期的记录定义缺省的TTL值$INCLUDE文件的路径

//包含外部的配置文件实例：（1）根区域文件的例子

#cat/var/named/named.ca. 3600000INNSA.ROOT-ERVERS.NET.A.ROOT-SERVERS.NET.3600000A……

注：根区域中主要应用NS和A记录 （2）正向区域文件的例子#cat/var/name/localhost.zone$TTL 86400$ORIGINlocalhost.@ 1DINSOA @root(

42 ;serial(d.adams) 3H ;refresh 15M ;retry

1W ;expiry 1D) ;minimum INNS @ 1DINA （3）反向区域文件的例子#cat/var/named/named.local$TTL 86400@INSOAlocalhost.root.localhost.(1997022700;Serial28800;Refresh14400;Retry3600000;Expire86400);MinimumINNSlocalhost.1INPTRlocalhost. （4）根据以下要求建立名为abc.zone的区域文件管辖区域名为,并授权给本机,管理员的mail地址为root@授权的序列号为48,刷新时间为3小时,重试时间为15分钟,默认TTL为86400秒区域的域名服务器的完整名称为.建立主机记录指向并且给区域定义IP地址为192.168.0.l给建立别名记录建立区域的邮件服务器位置记录指向.#vi/var/named/abc.zone$TTL 86400$ORIGIN.@ 1DINSOA @.(

48 ;serial(d.adams) 3H ;refresh 15M ;retry

1W ;expiry 1D) ;minimum 1DINNS . 1DINMX 5 .wwwINAftpINCNAME.4.启动服务 （1）检查配置文件的正确性named-checkconf功能：检查named配置文件语法格式：

named-checkconf

文件名实例：

#named-checkconf/etc/named.confnamed-checkzone功能：检查区域文件的正确性格式：

named-checkzone

区域名区域文件名实例：

#named-checkzone

/var/named/abc.zone （2）启动服务#servicenamedstart5-4DNS客户端的设置和测试方法1.客户端设置 （1）Windows客户端设置 右击”网络邻居”----双击”本地连接”-----属性-----tcp/ip---输入DNS服务器的地址 （2）Linux的客户端的设置#vi/etc/resolv.conf添加以下选项:nameserverDNS服务器的IP地址#vi/etc/host.conf//设置解析顺序2.测试方法 （1）Windows客户端的测试方法方法一:nslookup （2）Linux的客户端可的测试方法方法一:nslookup方法二:dig方法三:host5-5

配置案例案例一：单区域主DNS服务器配置该服务器负责正向区域dnstest.cc的解析，且ip

地址为

dnstest.cc

区域的域名服务器为dns.dnstest.cc,且该主机名的ip为如果dns.dnstest.cc不能解析某个域名时，该DNS服务器会转发给0在dnstest.cc区域中分别建立记录www指向,mail主机指向dnstest.cc区域内的mail服务器为mail.dnstest.cc配置过程： １．安装软件包#rpm–ivhbind-9.2.1-16.i386.rpm#rpm–ivhbind-utils-9.2.1-16.i386.rpm#rpm–ivhredhat-config-bind-1.9.0-13.noarch.rpm#rpm–ivhcaching-nameserver-9.2-7.noarch.rpm ２．建立区域#vi/etc/named.conf添加以下内容：options{directory“/var/named”;forwarders{0;}; //添加的内容};zone“dnstest.cc”IN{typemaster;file“dnstest.zone”;};

３．建立区域文件/var/named/dnstest.zone#vi/var/named/dnstest.zone$TTL 86400$ORIGINdnstest.cc.@ 1DINSOA @root(

49 ;serial 3H ;refresh 15M ;retry

1W ;expiry 1D) ;minimum 1DINNS dns.dnstest.cc. INMX10mail.dnstest.cc.dnsINAwwwINAmailINA ４．启动服务#named-checkconf/etc/named.conf#named-checkzone

dnstest.cc./var/named/dnstest.zone#servicenamedstart案例二：辅助DNS服务器配置要求：利用bind软件建立一台dnstest.cc区域的辅助dns服务器，主服务器ip地址为配置过程：辅助DNS服务器只要在DNS服务器上建立一个辅助区域指向主服务器，不用手工建立区域文件，辅助DNS服务器会自动从主服务器中复制区域文件。

1.安装相关软件#rpm–ivhbind-9.2.1-16.i386.rpm#rpm–ivhbind-utils-9.2.1-16.i386.rpm#rpm–ivhredhat-config-bind-1.9.0-13.noarch.rpm#rpm–ivhcaching-nameserver-9.2-7.noarch.rpm

2.建立从区域#vi/etc/named.conf添加如下内容：zone“dnstest.cc”IN{typeslave;file“dnstest.zone”;masters{;};};

3.启动服务#servicenamedstart上机作业WEB服务器66-1Web服务器的基本概念1.Web服务器简介Web系统是基于c/s模式的服务，由web服务器和web客户端两部分构成。Web服务特点：无平台的分布式的动态的交互的2.Web服务的工作流程Web客户端根据用户输入的URL连到相应远程的Web服务器上从指定的服务器获得指定的Web文档断开与远端Web服务器的连接3.常见web服务器软件ApacheIISNCSASunONE4.Apache的特点支持多个平台支持HTTP1.1支持虚拟主机支持HTTP认证集成了代理服务器支持SSL支持PHP支持JavaSerlets支持多处理模块支持通用网关接口CGI5.Apache的体系结构核心模块第三方模块标准模块常见的标准模块mod_access //实现主机访问控制 ymod_actions //支持CGI ymod_alias //支持URL重定向 ymod_auth //支持文本用户认证 ymod_auth_mysql //支持mysql的用户认证 nmod_auth_anon

//允许匿名用户访问身分认证 y……第三方模块mod_php //支持PHPmod_perl //支持perl……6-2Apache的安装1.Apache的RPM包的安装#mount/mnt/cdrom#cd/mnt/cdrom/RedHat/RPMS#rpm-ivhhttpd-2.0.40-21.i386.rpm#rpm-ivhhttpd-manual-2.0.40-21.i386.rpm2.Apache的编译安装 （1）下载Apache的源代码到/usr/src

（2）#tar-zxvf/usr/src/httpd-2.0.1.tar.gz

（3）#cd/usr/src/httpd-2.0.1 #./configure--prefix=/usr/local/httpd --enable-mods-shared=most //启用Apache的DSO功能 （4）#make

（5）#makeinstall3.二进制安装（1）获取二进制软件包（2）#tar-zxvfhttpd-2.0.1.tar.gz（3）#cdhttpd-2.0.1（4）#./install_sh相关文件/etc/httpd/conf/httpd.conf //Apache核心配置文件/etc/rc.d/init.d/httpd //Apache启动脚本htpasswd //设置Apahce用户的密码.htaccess //存放httpd.conf的配置选项6-3

配置Apache参照Apache配置文件6-4Apache的应用1.个人WEB站点的应用（1）配置步骤①修改主配置文件，启用个人WEB站点功能； 修改主配置文件，为每个用户的WEB站点目录配置访问控制。②建立个人WEB站点的根目录（在/home/用户/）③更改用户主目录的权限（2）配置实例：①修改httpd.conf#vi/etc/httpd/conf/httpd.conf

修改以下内容：<IfModule

mod_userdir.c>UserDirdisablerootUserDir

public_html</IfModule><Directory/home/*/public_html>选项 //去掉前面的#号即可……</Directory>②建立个人Web站点存放的目录#su-test$mkdir

public_html$cd..$chmod711test③启动服务#servicehttpdstart④测试个人WEB站点URL:http：//IP地址|域名/~用户名2.认证和授权配置（1）认证的类型基本认证(basic)摘要认证(digest)（2）认证方法基于文本的认证基于mysql认证（3）基于文本的谁配置Apache的认证配置指令：AuthName“领域名称“

//定义受保护领域名称AuthType

basic|digest //定义认证类型AuthUserFile/路径/文件名

//指定认证用户口令文件AuthGroupFile

文件名

//指定认证组口令文件Apache的授权配置指令：Requireuser用户名[用户名]…… //授权给指的一个或多个用户Requiregroup组名[组名]…… //授权给指定的一个或多个组Requirevalid-user //授权给认证口令文件中的所有用户配置方法：要求：设置Apache只允许admin用户访问/var/www/html/pub①建立目录#mkdir/var/www/html/pub②修改httpd.conf#vi/etc/httpd/conf/httpd.conf在主服务器区域中添加以下内容：<Directory“/var/www/html/pub”>OptionsIndexesFollowSymLinksAllowOverridenoneOrderallow,denyAllowfromallAuthTypebasicAuthName“abc”AuthUserFiles/var/www/passwd/abcRequirevalid-user</Directory>③创建认证口令文件，并添加用户#mkdir/var/www/passwd#htpasswd-c认证口令文件名用户名实例：#htpasswd-c/var/www/passwd/abcadmin#htpasswd/var/www/passwd/abc

aaa //向口令文件中添加用户aaa④改变认证口令文件属主#chown

apache.apache/var/www/passwd/abc⑤重启httpd#servicehttpdrestart3.虚拟主机配置（1）虚拟主机配置指令（参数）虚拟主机使用VirtualHost容器其中指令：ServerAdmin E-mail地址

//指定虚拟主机的管理员的E-mail地址DocumentRoot

路径

//指定虚拟主机的根文档目录ServerName

主机名

//指定虚拟主机的名称和端口ErrorLog

//指定虚拟主机的错误日志存放路径CustomLog //指定虚拟主机的访问日志存放路径（2）基于IP的虚拟主机配置方法：①给服务器绑定多个IP②修改httpd.conf添加如下内容：<virtualhost

ip地址/主机名>documentroot“目录名”

directoryindex文件名</virtualhost>实例：一个基于IP地址的虚拟主机要求：有一台linux主机eth0的IP为1，且绑定一个ip为2,现利用apache2.0发布站点/var/www/html和站点/web2配置过程：#vi/etc/sysconfig/network-scripts/#cpifcfg-eth0ifcfg-eth0:0#viifcfg-eth0:0ONBOOT=yesDEVICE=eth0:0……#vi/etc/httpd/conf/httpd.conf

<VirtualHost2>

DocumentRoot/web2

DirectoryIndex

index.htm</VirtualHost>

（3）基于域名的虚主机配置方法：①配置DNS②修改httpd.conf修改如下内容：NameVirtualHostIP地址<VirtualHost

主机名|IP地址>ServerName

主机名DocumentRoot/路径/目录名

<VirtualHost>配置实例：一个Linux主机的IP为1,且该地址在DNS服务器对应和（别名）要求：①在apache上设置访问/var/www/html②在apache上设置访问/web2配置过程：

①修改DNS区域文件…… ②#vi/etc/httpd/conf/httpd.conf //在虚拟主机区添加如下内容：NameVirtualHost1<VirtualHost1>

ServerName

DocumentRoot/web2</VirtualHost><VirtualHost1>ServerName

DocumentRoot/var/www/html</VirtualHost>测试：6-4Apache的日志管理1.Apache日志的种类错误日志访问日志传输日志Cookie日志2.查看日志（1）查看错误日志#cat/etc/httpd/logs/error_log文件格式：日期和时间 错误等级 错误消息（2）查看访问日志#cat/etc/httpd/logs/access_log3.日志统计分析Webalizer#rpm–ivhwebalizer-2.01_10-11.i386.rpmURL:http://IP地址或域名/usage/上机作业FTP服务器77-1FTP的基本概念1.FTP作用FTP (文件传输协议)是TCP/IP协议栈所提供的一种子协议，该子协议具体可以实现在以下功能：从客户向服务器发送一个文件从服务器向客户发送一个文件从服务器向客户发送文件或目录列表2.FTP的工作体系服务器与客户机之间利用TCP的21号端口传送信号指令；利用20号端口用于传送数据；具体工作过程如下：客户机启动客户端程序，通过TCP的“三次握手”建立服务器的连接服务器对客户机进行身份验证进行相应目录操作和数据传输断开连接3.FTP的数据传输模式主动传输模式:在这种模式下，服务器向客户端发起一个用于数据传输的连接，客户端的连接端口是由服务器和客户端通过协商通过的被动传输模式:在这种模式下，客户端向服务器发起一个用于数据传输的连接，客户端的连接端口是发起这个数据连请求时使用的端口号4.Linux下常见的FTP软件VsftpdProftpWu-ftp7-2FTP服务器配置1．安装FTP服务的相关软件 装载第三张安装盘#rpm-ivhvsftpd-1.1.3-8.i386.rpm相关文件：/etc/vsftpd/vsftpd.conf//主配置文件/etc/vsftpd.ftpusers

//指定哪些用户不能访问FTP服务器/etc/vsftpd.user_list

//可以根据vsftpd.conf文件中的设置来决定该文件中指定的用户是否可以访问ftp服务器２．修改/etc/vsftpd/vsftpd.conf#vi/etc/vsftpd/vsftpd.conf功能：设置ＦＴＰ服务器相关选项文件格式：

#说明语句

……配置选项

……3.默认配置文件anonymous_enable=yes/no(yes) //是否允许匿名用户登录local_enable=yes/no(yes) //是否允许本地用户登录write_enable=yes/no(yes) //是否允许本地用户上传local_mask=022 //设置本地用户的文件生成掩码为022,默认值为077dirmessage_enable=yes

//设置服务器在切换目录是否显示欢迎信息xferlog_enable=yes/no(yes) //是否激活上传和下载日志connect_from_port_20=yes/no（yes）

//是否启用FTP数据端口连接pam_services_name=vsftpd //设置PAM认证服务的配置文件名称,该文件存放在/etc/pam.d目录下userlist_enable=yes/no(no) //是否允许vsftpd.user_list文件中的用户访问服务器userlist_deny=yes/no(yes) //是否拒绝vsftpd.user_list文件中的用户访问服务器listen=yes/no(yes) //是否使用独占启动方式tcp_wrappers=yes/no(yes)

//使用tcp_wrappers作为主机访问控制方式说明：默认配置文件功能： （1）允许匿名用户登录/var/ftp，但不能离开主目录 （2）允许本地用户登录，且可离开主目录 （3）匿名用户只能下载，不能上传

（4）本地用户允许上传/下载 （5）写在文件/etc/vsftpd.ftpusers中的本地用户禁止登录 （6）服务器使用独占方式启动，且无限制连接数4.启动服务#servicevsftpdstart5.测试7-3FTP客户端的操作1.linux客户端(1)ftp#ftp服务器IP地址

ftp>ftp子命令说明:常用的ftp子命令有以下几种?|help //显示ftp内部命令的帮助信息![命令[参数]] //在本机中执行shell命令后回ftp环境中lcd[dir] //将本地工作目录切到diropen服务器地址[端口] //建立指定FTP服务器连接,可指定连接端口close //中断与远程服务器的FTP会话asc //使用ascii类型传输方式bin //使用二进制文件传输方式cd

目录名

//进入远程主机目录pwd //显示远程主机的当前工作目录mkdir //在远程主机中建立目录ls //显示远程目录中的内容get远程文件名[本地文件名] //下载远程主机的文件mget

文件名文件名…(或者是目录名) //下载远程主机上的多个文件put本地文件

//将本地文件传送到远程FTP服务器mput

本地文件本地文件…… //将多个本地文件传送到远程FTP服务器rename旧文件名新文件名

//进行文件重命名操作delete文件名

//删除远程FTP服务器中的指定文件mdelete

文件名

//删除远程FTP服务器中的多个文件rmdir

目录名

//删除远程FTP服务器中的指定目录quit/bye //退出FTP会话（2）gFTP（图形方式）2.Windows客户端方法一：IE方法二：cmd----c:/>ftp方法三：第二方软件：CuteFTP,FlashFXP7-4vsftpd高级配置1.进一步配置vsftpd启用ASCII传输方式ascii_upload_enble=yesascii_download_enble=yes设置连接服务器后的欢迎信息ftpd_banner=welcometoftpservice.banner_file=/var/vsftd_file配置基本的性能和安全选项idle_session_timeout=60 //设置空闭的用户会话的中断时间data_connection_timeout=120 //设置空闭的数据连接的中断时间accep_timeout=60connect_timeout=60 //设置客户端空闲时自动中断和激活连接时间max_clients=200max_per_ip=3 //限制客户连接数,在独占方式下起作用local_max_rate=5000anon_max_rate=3000 //设置最大传输速率限制pasv_min_port=5000pasv_max_port=6000 //设置客户端连接的端口范围chroot_local_user=YES //设置所有的本地用户用户执行chrootchroot_local_user=NOchroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list //设置指定用户执行chroot配置基于本地用户的访问控制

①限制指定的本地用户不用访问，其他用户可访问userlist_enable=YESuserlist_deny=YESuserlist_file=/etc/vsftpd.user_list ②限制指定的本地用户可以访问，其他用户不可以访问userlist_enable=YESuserlist_deny=NOuserlist_file=/etc/vsftpd.user_list2.使用vsftpd

配置高安全级别的匿名服务器（独占方式）仅仅允许匿名用户访问，而不允许本地用户访问不允许匿名用户上传设置客户端连接时的端口范围设置匿名用户的最大传输速率限制设置空闲的数据连接的的中断时间设置客户端空闲时的自动中断和激活连接的时间配置每个主机的最大连接数配置总的并发连接数配置禁止访问的主机配置安全日志配置过程：#vi/etc/vsftpd/vsftpd.conf#standalonemodelistent=YESmax_clients=200max_per_ip=4tcp_wrappers=YES#accessrightsanonymous_enable=YESlocal_enable=YESwrite_enable=YESanon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NO#securityanon_world_readable_only=YES //关闭匿名用户的浏览权限connect_from_port_20=YEShid_ids=YESpasv_min_port=5000pasv_max_port=6000#featurexferlog_enable=YESls_recurse_enable=NOascii_download_enable=NO#performanceidle_session_timeout=120data_connection_timeout=300accept_timeout=60connect_timeout=60anon_max_rate=50000ftpd_banner=ThisFTPserverisanonymousonly!!!3.配置vsftpd在非